Neue Kennzeichnungspflichten für Handys, Kopfhörer und Co.
Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.
1. Inhaltliche Prüfung - Was will der Antragstellende?
2. Wer ist der Antragstellende?
3. Was tun bei berechtigten Zweifeln an der Identität?
4. Werden Daten des Antragstellenden überhaupt gespeichtert?
5. Welche Informationen sind zusätzlich zu erteilen?
6. Recht auf Datenkopie
7. In welcher Form hat die Auskunft zu erfolgen?
8. Welche Fristen gelten?
9. Wie oft darf jemand Auskunft verlangen?
10. Gibt es weitere gesetzliche Ausnahmen?
11. Auskunftsrecht und Datenverarbeitung?
12. Unser Tipp
Der Auskunftsanspruch nach Art. 15 DSGVO ist wohl eines der bedeutsamsten DSGVO- Betroffenenrechte und spaltet wie kein anderes Recht die Gemüter. Eine betroffene Person sollte jederzeit das Recht haben, Auskunft gegenüber dem Verantwortlichen über die zu ihrer Person verarbeiteten Daten zu erhalten, um Verarbeitungen nachvollziehen bzw. deren Rechtmäßigkeit überprüfen zu können. Gründe für das Auskunftsbegehren sind dabei von der betroffenen Person gegenüber dem Unternehmen nicht zwingend hervorzubringen.
Soweit so gut, doch in der Praxis ist die Umsetzung des Auskunftsrechts gar nicht so einfach. In einem Online-Shop findet meist eine Vielzahl an Verarbeitungsprozessen statt. Werden einzelne Prozesse zusätzlich „outgesourct“, ist ein Überblick schwierig und das Chaos meist schon perfekt.
Doch wie sollte man einer möglichen Flut an Auskunftsanfragen am besten begegnen? Auf welche Stolpersteine ist bei der Beantwortung der Anfragen zu achten? Der folgende Rechtstipp der Woche stellt Ihnen eine Schritt für Schritt Anleitung zur Hand, wie Sie den Auskunftsansprüchen zielführend begegnen und sicher ausführen können.
In einem ersten Schritt ist zu prüfen, ob es sich bei der eingegangenen Mitteilung überhaupt um ein datenschutzrechtliches Auskunftsersuchen nach Art. 15 DSGVO handelt. Handelt es sich um eine allgemeine Beschwerde oder ist der Anfrage doch ein datenschutzrechtlicher Informationskern zu entnehmen? Der betroffenen Person steht es zudem frei, in welcher Form sie einen Auskunftsantrag stellt. Daher ist es für Ihr Unternehmen besonders wichtig, dass Ihre Angestellten oder die Serviceabteilung für mögliche telefonische bzw. schriftliche Auskunftsanfragen ausreichend sensibilisiert und geschult sind. Für die inhaltliche Bearbeitung bietet sich die Nutzung eines Ticket-Systems an. So sollten u.a. das Datum des Antragseingangs, der Stand der Bearbeitung, das Datum der Antragsbearbeitung sowie die bearbeitende Person oder Fachabteilung in einem internen Prozessleitfaden festgehalten werden.
Jemand hat von seinem Recht auf Auskunft Gebrauch gemacht. Und nun? Um alle geforderten Informationen zusammenzustellen, bedarf es ausreichender Informationen über die betroffene Person, d.h. die Informationen des Antragstellenden sind mit dem vorhandenen (Stamm)Datensatz in Ihrem System abzugleichen. Dies ist insbesondere dann schwierig, wenn unzureichende Informationen (z.B. Anfrage mittels Fantasie-E-Mailadresse) vorliegen und der Antragstellende in Ihrem System nicht identifiziert werden kann. Das OLG Stuttgart urteilte zudem (OLG Stuttgart, 31.03.2021, Az. 9 U 34/21), dass es einer Original-Vollmacht bedarf, um den Auskunftsanspruch durch eine dritte Person durchsetzen zu lassen. Dies gilt besonders für das Anwalts- und Mandantenverhältnis.
Wichtig ist, dass Sie stets die Identität der auskunftsersuchenden Person nachweisen können, denn die Datenauskunft darf nicht an unbefugte Dritte erfolgen. Sie haben dabei alle vertretbaren Mittel zur Identitätsprüfung in Erwägung zu ziehen. So drohen beispielsweise bei einer umfangreichen Datenübermittlung von sensiblen Daten (Gesundheitsdaten etc.) an einen unbefugten Dritten erhebliche Schäden für die betroffenen Personen. Folgen können dabei unter anderem ein Identitätsdiebstahl sein. Wenn Sie bei einem Antrag auf Auskunftsersuchen Zweifel an der Identität haben, ist auf die fehlende Identifizierbarkeit hinzuweisen. Die betroffene Person hat sodann weitere Informationen nachzureichen, wie etwa die postalische Adresse bzw. Rechnungsadresse bei einem elektronischen Auskunftsantrag.
Als letztes Mittel im Authentifizierungsprozess, sofern alle vorherigen Identitätsbestimmungen fehlgeschlagen sind, kann eine „geschwärzte“ Kopie des Personalausweises gefordert werden. Allerdings darf der Verantwortliche die Kopie ausschließlich zur Identifizierung verwenden, nicht benötigte Daten sollten zudem auf der Kopie unkenntlich gemacht und nach erfolgreicher Identifizierung auch unverzüglich vernichtet werden. Dabei dürfen in der Regel nur Name, Adresse und die Gültigkeitsdauer, nicht jedoch die Ausweisnummer auf der Kopie erkennbar sein.
Ist die betroffene Person letztendlich nicht eindeutig identifizierbar, kann keine Auskunft über die Verarbeitung von personenbezogenen Daten erteilt werden. Die betroffene Person ist auch hierüber zu informieren.
Konnte die Identität der antragstellenden Person von Ihnen bestätigt werden, ist festzustellen, ob in Ihrem Unternehmen überhaupt Daten dieser Person verarbeitet werden.
Hinweis: Natürlich werden personenbezogene Daten für die Bearbeitung des Auskunftsanspruches verarbeitet (z.B. Bearbeitung der E-Mailanfrage). Darüber ist der Antragstellende zu informieren.
Das Recht auf Auskunft betrifft die Verarbeitung von personenbezogenen Daten (z.B. Name, Anschrift, E-Mailadresse, IP-Adresse, Rechnungs- oder Bestellnummer). Darüber hinaus gehende Auskünfte sind nicht zu erteilen. Der Verarbeitungsbegriff ist dabei weit zu verstehen. Der Bundesgerichtshof hat kürzlich entschieden (BGH, Urt. v. 15.06.2021, VI ZR 576/19), dass auch interne Vermerke und die vollständige Korrespondenz (z.B. E-Mailschriftverkehr) mit dem Betroffenen unter das Auskunftsrecht fallen, auch wenn diese Informationen dem Antragsteller bereits vorliegen.
Eine Auskunft ist nur von demjenigen zu erteilen, der für die Verarbeitung der Daten verantwortlich ist. Richtet eine Person seine Anfrage nicht an Sie, sondern an einen Ihrer Auftragsverarbeiter (z.B. Dienstleister für den Newsletter), ist dieser gehalten Ihnen das Auskunftsersuchen dieser Person zur weiteren Bearbeitung weiterzuleiten.
Hinweis: Werden keine Daten des Antragstellenden verarbeitet, ist demjenigen dies dennoch mitzuteilen (sogenannte Negativauskunft).
Die betroffene Person ist neben den verarbeiteten personenbezogenen Daten insbesondere über folgende Punkte „Metainformationen“ zu informieren:
Eine vollständige Auflistung der verpflichtenden Informationen finden Sie hier.
Art.15 Abs.3 DSGVO spricht der betroffenen Person zudem ein Recht auf Datenkopie zu. Wir empfehlen eine entsprechende Kopie bei allen Auskunftsanfragen zur Verfügung zu stellen. Diese umfasst alle personenbezogenen Daten, die Gegenstand der Verarbeitung sind und deren konkrete Darstellung, wie Sie beim Verantwortlichen vorliegen. Dies kann bspw. durch einen Systemauszug in einem gängigen elektronischen Format erfolgen (z.B. Excel-Tabelle).
Ein gesetzliches Muster für die Auskunftserteilung ist in der DSGVO nicht vorgesehen. Informationen und Auskünfte können an die betroffene Person in jeder Form erteilt werden: schriftlich, elektronisch oder auf Wunsch auch mündlich (Art. 12 Abs. 1 S. 2 u. 3 DSGVO). Stellt die antragstellende Person den Auskunftsantrag elektronisch (z.B. per E-Mail), müssen Sie die Auskunft auch in einem gängigen elektronischen Format (z.B. als PDF-Dokument) zur Verfügung stellen, sofern die betroffene Person nichts anderes angibt oder wünscht.
Hinweis: Die gesamte Korrespondenz zum Auskunftsersuchen sollte in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.
Auskunftserteilungen (auch Negativauskünfte) müssen unverzüglich erfolgen, spätestens aber innerhalb eines Monats (Art. 12 Abs. 3 DSGVO) nach Eingang des Auskunftsantrags. In begründeten Ausnahmefällen kann diese Frist überschritten werden, worüber der Betroffene innerhalb der Monatsfrist zu informieren ist (z.B. bei einer hohen Auslastung an Anträgen). Die Frist zur Auskunft verlängert sich im Ausnahmefalle um weitere zwei Monate.
Wie oft jemand sein Auskunftsrecht in Anspruch nehmen darf, ist der DSGVO nicht zu entnehmen. Im Falle von offenkundig unbegründeten oder – insbesondere im Falle von häufiger Wiederholung - exzessiven Anträgen, können Sie vom Betroffenen ein angemessenes Verwaltungsentgelt (Kostenrahmen, der Ihnen für die Bearbeitung der Anfrage entsteht) für die Bearbeitung verlangen oder die Bearbeitung des Antrags verweigern. Sofern der Antragstellende in einem jährlichen Turnus Auskunft verlangt, wird man grundsätzlich von einem angemessenen Zeitabstand zwischen den Anfragen ausgehen können.
So urteilte das LG Heidelberg am 21.02.2020 ( Az. 4 O 6/19), dass der Auskunftsanspruch sich nicht auf Daten erstreckt, die in der Vergangenheit verarbeitet wurden, über die der Verantwortliche nun allerdings nicht mehr verfügt und daher schwerlich zu beschaffen sind. Zudem hat das Landgericht festgestellt, dass der Auskunftsanspruch seine Grenzen im unverhältnismäßigen Aufwand findet (vgl. Art.12 Abs.5 DSGVO). Dies kann der Fall sein, wenn beispielsweise die Sichtung und Schwärzung mehrerer tausend Emails damit einhergeht und das Informationsinteresse der betroffenen Person als gering einzustufen ist.
Hinweis: Sie tragen die Beweislast, ob es sich um einen offenkundig unbegründeten oder exzessiven Antrag handelt. Im Zweifel empfiehlt es sich daher den Auskunftsanspruch nachzukommen.
Auch der Anspruch auf eine Datenkopie über alle verarbeiteten personenbezogenen Daten ist kostenlos. Auch hier gilt: Bei exzessiven Anfragen weiterer Datenkopien können Sie ein angemessenes Entgelt verlangen.
Ein Ausschlussgrund kann in der Beeinträchtigung von Rechten und Freiheiten anderer Personen liegen (Art.15 Abs.4 DSGVO). Dieser kann vor allem bei Geschäftsgeheimnissen oder Rechten des geistigen Eigentums (insbesondere das Urheberrecht an Software) einschlägig sein. Um dies zu beurteilen bedarf es einer umfassenden Güterabwägung zwischen den Rechten der betroffenen Person, der die Auskunft verweigert wird und den widerstreitenden Rechten und Freiheiten der anderen Person.
Zudem kann das Auskunftsrecht auch durch §34 BDSG beschränkt werden. §34 Abs.1 Nr. 2 BDSG normiert, dass das Auskunftsrecht insbesondere nicht besteht, wenn die betroffene Person nur aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungspflichten gespeichert werden und die Auskunft einen unverhältnismäßigen Aufwand bedeuten würde. Berücksichtigen Sie hierbei, dass die Voraussetzungen kumulativ, also gleichzeitig, vorliegen müssen. So kann das Auskunftsersuchen nicht nur aufgrund der Speicherung von Daten aufgrund gesetzliche Aufbewahrungspflichten (z.B. §257 HGB oder §147 AO) verwehrt werden. Zusätzlich muss ein die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern.
Hinweis: Beachtet Sie auch bei dieser Ausnahme , dass die Beweislast eines Ausnahmegrundes stets bei Ihnen liegt. Die Gründe der Auskunftsverweigerung sind entsprechend zu dokumentieren und gegenüber der betroffenen Person mitzuteilen, sofern keine Geheimhaltungsgründe entgegenstehen.
Um einem Auskunftsersuchen gerecht zu werden, ist ein strukturierter Prozessablauf das A und O. Auskunftsanfragen beinhalten personenbezogene Daten und werden in Ihren Systemen zur weiteren Bearbeitung gespeichert. Auch diese Daten unterliegen den Grundsätzen der DSGVO. So sind die beinhalteten personenbezogenen Daten der Auskunftsanfrage insbesondere nur für den Zweck der Auskunftserteilung zu verarbeiten. Die Daten Ihrer Kundschaft sollten zudem auch nicht von vornherein für ein mögliches Auskunftsersuchen in Ihrem Kundensystem vorgehalten werden.
Sollten Sie einem Auskunftsersuch nicht oder nur fehlerhaft nachkommen, kann gemäß Art.83 Abs.5 lit. b DSGVO ein Geldbuße auf Sie zukommen. Daher ist es unerlässlich, ein zuverlässiges Betroffenenrechte-Managementsystem im Unternehmen einzurichten. Das heißt, es müssen rechtzeitig organisatorische Vorkehrungen für eine unverzügliche und umfassende Auskunftserteilung getroffen werden.
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
15.07.21Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.